ASAv – Active/Standby konfiguracja – minimalna

Witam, wcześniej napisałem jak w labie postawić Cisco ASAv, dziś pokażę jak szybko i bez problemów skonfigurować dwie wirtualki w trybie failover A/P – jedyny tryb który obsługuje na chwilę obecną.

Rysunek poglądowy:

asa_fail

Założenia konfiguracyjne:

Interfejs Praimary Secondary zona
GigabitEthernet 0/0 192.168.1.80 192.168.1.81 NET_LAB
GigabitEthernet 0/1 172.16.1.1 172.16.1.2 LAN
GigabitEthernet 0/8 10.255.255.1 10.255.255.2 Sync

Konfiguracja Workstation:

przechodzimy do Edycji wirtualnej maszyny, na przykładzie ASAv01 pokażę co i jak:

asa_fail01

wybieramy Network Adapter 3 – który odpowiada GigabitEthernet 0/1 nasz LAN, wybieramy LAN Segment, oraz musimy utworzyć odpowiedni LAN segment – przechodzimy do LAN Segments pojawia się nam okno:

asa_fail02

gdzie klikamy add i dodajemy LAN_ASA oraz SYNC_ASA. Klikamy OK, i z listy wybieramy LAN_ASA. przechodzimy do Network Adapter 10 – który odpowiada GigabitEthernet 0/8 i wybieramy LAN Segment i z listy wybieramy SYNC_ASA:

asa_fail03

Klikamy ok, powtarzamy ten krok dla ASAv02 bez tworzenia Lan Segmentów.

przechodzimy do właściwej konfiguracji. Konfigurację możemy wykonać z poziomu Workstation lub po ssh.

Konfiguracja Cisco ASA

Konfiguracja Primary Node

//Podnosimy interfejs który będzie służył nam jak failover 
asav01(config)# int gigabitEthernet 0/8 
asav01(config-if)# no sh
asav01(config-if)# exit
//Przechodzimy do konfiguracji HA
asav01(config)# failover lan unit primary
asav01(config)# failover lan interface Sync GigabitEthernet0/8 
INFO: Non-failover interface config is cleared on GigabitEthernet0/8 and its sub-interfaces
//Nadajemy IP 
asav01(config)# failover interface ip sync 10.255.255.1 255.255.255.0 standby 10.255.255.2
//Nadajemy hasło 
asav01(config)# failover key 0 CiscoASAV
asav01(config)# interface GigabitEthernet0/0
//Ze względu że nie mam dedykowanego interfejsu do MGMT nadaję ip dla noda który jest standby. 
asav01(config-if)# ip address 192.168.1.80 255.255.255.0 standby 192.168.1.81

Secondary Node

asav02(config)# int gigabitEthernet 0/8 
asav02(config-if)# no sh
asav02(config-if)# exit
asav02(config)# failover lan unit secondary
asav02(config)# failover lan interface Sync GigabitEthernet0/8 
INFO: Non-failover interface config is cleared on GigabitEthernet0/8 and its sub-interfaces
asav02(config)# failover interface ip sync 10.255.255.1 255.255.255.0 standby 10.255.255.2
asav02(config)# failover key 0 CiscoASAV

Po wykonaniu powyższego wykonujemy reboot.

Jedna z fajnych pomocnych konfiguracji, która pomoże nam rozpoznawać urządzenia

asav01(config)# prompt state hostname priority

prompt zmienia na:

act/asav01/pri#

Przechodzimy do konfiguracji segmentu LAN

act/asav01/pri(config)# interface gigabitEthernet 0/1
act/asav01/pri(config-if)# ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2
act/asav01/pri(config-if)# security-level 100
act/asav01/pri(config-if)# nameif LAN
act/asav01/pri(config-if)# no sh

Włączamy monitor dla Interfejsów LAN oraz NET_LAB

act/asav01/pri(config)# monitor-interface LAN 
act/asav01/pri(config)# monitor-interface NET_LAB

Sprawdzamy Interfejsy:

act/asav01/pri# show ip 
System IP Addresses:
Interface                Name                   IP address      Subnet mask     Method 
GigabitEthernet0/0       NET_LAB                192.168.1.80    255.255.255.0   CONFIG
GigabitEthernet0/1       LAN                    172.16.1.1      255.255.255.0   manual
GigabitEthernet0/8       Sync                   10.255.255.1    255.255.255.0   unset 
Current IP Addresses:
Interface                Name                   IP address      Subnet mask     Method 
GigabitEthernet0/0       NET_LAB                192.168.1.80    255.255.255.0   CONFIG
GigabitEthernet0/1       LAN                    172.16.1.1      255.255.255.0   manual
GigabitEthernet0/8       Sync                   10.255.255.1    255.255.255.0   unset
stby/asav01/sec# show ip address 
System IP Addresses:
Interface                Name                   IP address      Subnet mask     Method 
GigabitEthernet0/0       NET_LAB                192.168.1.80    255.255.255.0   CONFIG
GigabitEthernet0/1       LAN                    172.16.1.1      255.255.255.0   manual
GigabitEthernet0/8       Sync                   10.255.255.1    255.255.255.0   unset 
Current IP Addresses:
Interface                Name                   IP address      Subnet mask     Method 
GigabitEthernet0/0       NET_LAB                192.168.1.81    255.255.255.0   CONFIG
GigabitEthernet0/1       LAN                    172.16.1.2      255.255.255.0   manual
GigabitEthernet0/8       Sync                   10.255.255.2    255.255.255.0   unset

Czas na sprawdzenie jak to wygląda z perspektywy urządzenia dla którego bramą jest nasz klaster, który właśnie skonfigurowaliśmy.

Logujemy się do naszej stacji roboczej i puszczamy ping na gw i wykonujemy polecenie failover active na standby:

asa_fail06

Tu spotkałem małe rozczarowanie traciłem dostęp do sieci NET_LAB, po dłuższym przeszukaniu przyczyny znalazłem winowajcę – jest to Workstation. ponieważ nie radzi sobie z przeniesieniem mac adresów w mojej konfiguracji. Nie długo skończę składanie labowego serwerka to i na nim będę miał już normalny hypervisor nie workstation i skończy się mój problem. Jest na to inne żeby wszędzie wykorzystać LAN segments w Workstation.

Poleceniem show failover sprawdzamy statusy interfejsów:

asa_fail05

po przełączeniu as wraca wszystko do normy:

asa_fail07

od strony LAN wszystko działa jak widać wyżej.

Na tym kończę dzisiejszy wpis mam nadzieję że komuś przyda się wpis.

Cześć Pierwsza – Instalacja ASAv w Labie

Link do dokumentacji CISCO w tym temacie

 

Pasjonat komputerowy od zawsze oraz maniak w zakresie sieci, wirtualizacji oraz bezpieczeństwa IT. Kompetentny inżynier z dużym doświadczeniem w realizacji projektów informatycznych i telekomunikacyjnych. Wieloletni administrator IT, który utrzymuje systemy informatyczne dostosowując je do wymogów biznesowych z zapewnieniem dostępności 24/7/365.
Posts created 126

Related Posts

Begin typing your search term above and press enter to search. Press ESC to cancel.

Back To Top